Prüfaufgaben des Datenschutzbeauftragten - Bitkom
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Agenda 1. Rechtliche Anforderungen • Aufgaben des Datenschutzbeauftragten • Rechenschaftspflichten aus der Datenschutzgrundverordnung (DSGVO 2018) • Kontrollpflichten aus der DSGVO • Datenschutzmanagementsystem • Zertifizierung im BDSG und in der DSGVO 2. Datenschutz-Organisation 3. Datenschutzprüfungen • Prüfungsplanung • Prüfungsdurchführung • Dokumentation • Zusammenarbeit einzelner Bereiche kbo Datenschutzprüfungen bei kbo | Juni 2020 | 2
über mich Seit ca. 20 Jahren im Datenschutz tätig Ausgebildet beim Landesamt für Datenschutz und Statistik in München Konzerndatenschutzbeauftragter bei kbo Externen Datenschutzbeauftragter in sozialen Einrichtungen „Grundausbildung“ Betriebswirtschaft und Interne Revision Stellv. Vorstandsvorsitzender beim Berufsverband der Datenschutzbeauftragten in Deutschland BvD e.V. kbo Datenschutzprüfungen bei kbo | Juni 2020 | 3
über kbo • Verbund von Kliniken und ambulanten Einrichtungen für Psychiatrie, Psychotherapie und Psychosomatik für Kinder, Jugendliche und Erwachsene, Neurologie und Sozialpädiatrie • 7.200 Mitarbeiter – etwa 110.000 Patienten jährlich • stationäre, teilstationäre und ambulante Leistungen - wohnortnah in ganz Oberbayern an über 30 Standorten kbo Datenschutzprüfungen bei kbo | Juni 2020 4 |4
Rechtliche Anforderungen Aufgaben des Datenschutzbeauftragten • Art. 39 DSGVO: • Abs. 1 lit. b): Überwachung der Einhaltung dieser Verordnung • Abs. 1 lit. c): Beratungs- und Überwachungsfunktion bei Datenschutzfolgeabschätzungen (Art. 35 DSGVO) • Abs. 1 lit. d+e): Zusammenarbeit mit Aufsichtsbehörden • Abs. 2: Durchführung einer eigenen Risikoeinschätzung zur Berücksichtigung des mit den Verarbeitungsvorgängen verbundenen Risikos bei der Erfüllung seiner Aufgaben • Art. 38 DSGVO: • Abs. 6: Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. kbo Datenschutzprüfungen bei kbo | Juni 2020 | 5
Rechtliche Anforderungen Rechenschaftspflichten aus der DSGVO • Art. 5 Abs. 2 DSGVO: Der für die Verarbeitung Verantwortliche muss die Einhaltung der Datenschutz-Grundsätze nachweisen können • Rechtmäßigkeit • Verarbeitung nach Treu und Glauben • Transparenz • Zweckbindung • Datenminimierung • Richtigkeit • Speicherbegrenzung • Integrität & Vertraulichkeit • Zur Erfüllung der Rechenschaftspflicht: Dokumentation des DSB über wesentliche Tätigkeiten seiner Person, bzw. seiner Mitarbeiter in einem zentralen Dokumentationstool (IDW PH 9.860.1) kbo Datenschutzprüfungen bei kbo | Juni 2020 | 6
Rechtliche Anforderungen Kontrollpflichten aus der DSGVO • Art. 24 Abs. 1 DSGVO: Der Verantwortliche setzt unter Berücksichtigung • der Art und des Umfangs, • der Umstände, • der Zwecke der Verarbeitung, • sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten geeignete technische und organisatorische Maßnahmen um und überprüft diese • Art. 32 Abs. 1 DSGVO: Kein Höchstmaß an technischen und organisatorischen Maßnahmen, sondern, nach dem Stand der Technik, dem Risiko für die Rechte und Freiheiten der betroffenen Personen angemessene Maßnahmen • Abs.1 d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit kbo Datenschutzprüfungen bei kbo | Juni 2020 | 7
Rechtliche Anforderungen Datenschutzmanagementsystem Zur Erfüllung der gesetzlichen Anforderungen ist die Implementierung eines Datenschutzmanagement-Systems unerlässlich Planung Festlegung und Fortschreiben aller Prozesse Weiterentwicklung Durchführung Instandhaltung und DSMS Umsetzung der Maßnahmen und Verbesserung der Prozesse Prozessschritte Kontrolle Überprüfung und Beurteilung prozessrelevanter Vorgaben kbo Datenschutzprüfungen bei kbo | Juni 2020 | 8
Rechtliche Anforderungen Zertifizierung im BDSG und in der DSGVO Bereits im BDSG Forderung nach einer Zertifizierung: • §9a BDSG : Zur Verbesserung des Datenschutzes & der Datensicherheit kann das Datenschutzkonzept und die technischen Einrichtungen durch unabhängige und zugelassene Gutachter überprüft und bewertet werden • Art. 42 DSGVO: Schafft die Möglichkeit, mit der Einhaltung eines zertifizierten Genehmigungsverfahrens die Erfüllung der Anforderungen der DSGVO nachzuweisen • Bislang kein anerkanntes Zertifizierungsverfahren • ISO 27001 / 27701 wichtiger Schritt zu pragmatischen und zertifizierbaren Datenschutz kbo Datenschutzprüfungen bei kbo | Juni 2020 | 9
Datenschutz-Organisation Vorstand Geschäftsführung Konzerndatenschutzbeauftragter Konzerndatenschutz-Team • Beratung • Überwachung Technischer Organisatorischer Datenschutz Datenschutz Ansprechpartner für IT Datenschutz kbo Datenschutzprüfungen bei kbo | Juni 2020 | 10
Datenschutz-Organisation Technischer Datenschutz Organisatorischer Datenschutz Aufgaben: Aufgaben: • Datenschutzfolgeabschätzung • Betroffenenrechte • Verzeichnis von Verarbeitungstätigkeiten • Auftragsverarbeitungsverträge • Rechte- und Rollen-Konzept • Dokumentensteuerung • … • … Datenschutzmanager IT-Sicherheitsbeauftragter Compliancebeauftragter x4 Konzerndatenschutzbeauftragter kbo Datenschutzprüfungen bei kbo | Juni 2020 | 11
Datenschutz-Prüfungen Audit-Universe Prüfungsplanung DOKUMENTATION Risikobewertung Datenschutzprüfungen Prüfungsarten/-handlungen Prüfungsdurchführung Bewertungssystematik Berichtswesen kbo Datenschutzprüfungen bei kbo | Juni 2020 | 12
Datenschutz-Prüfungen – Prüfungsplanung BEM-Prozess Schulen bei kbo Außerklinische Betriebsarzt Dokumentationssysteme Datenaufbewahrung AV-Verträge Clean-Desk Audit-Universe Datenerfassung IT-Themen Datenschutzverletzungen Datenschutz-Schulungen Datenweitergabe extern Datenmüll Betroffenenrechte Datenweitergabe intern … Videoüberwachung Hygiene kbo Datenschutzprüfungen bei kbo | Juni 2020 | 13
Datenschutz-Prüfungen – Prüfungsplanung Risikobewertung z.B. anhand folgender Kriterien: • Zeitpunkt letzter Prüfung • Brutto-Risiko laut Datenschutzfolgenabschätzung • Höchste betroffene Datenschutzklasse • Ergebnis letzter Prüfung • Anzahl von Datenschutzmeldungen in den letzten 12 Monaten in diesem Prozess • Schnittstellen im Prozess kbo Datenschutzprüfungen bei kbo | Juni 2020 | 14
Datenschutz-Prüfungen – Prüfungsplanung Zeitpunkt der letzten (1) weniger als 2 Jahre her (3) länger als 5 Jahre her Prüfung (2) länger als 2 Jahre her (4) länger als 10 Jahre her (1) keine DSFA/ gering (3) hoch Brutto-Risiko laut DSFA (2) mittel (4) sehr hoch Höchste betroffene (1) max. Klasse 4 oder 5 (3) Datenschutzklasse 2 Datenschutzklasse (2) Datenschutzklasse 3 (4) Datenschutzklasse 1 Ergebnis der letzten (1) keine Prio1-Feststellung (3) 2< Prio1-Feststellungen Prüfung (2) 1-2 Prio1-Feststellungen Anzahl Datenschutz- (1) 0-2 (3) ab 5 meldungen im Prozess (2) 2-4/ keine Anzahl Schnittstellen im (1) keine (3) ab 3 Prozess (2) bis 2 kbo Datenschutzprüfungen bei kbo | Juni 2020 | 15
Datenschutz-Prüfungen – Prüfungsplanung Risikoorientierte Prüfungsplanung z.B. aufgrund vorangegangener Risikobewertung • Die einzelnen Werte werden für jedes Prüffeld je nach Auswahl miteinander multipliziert, so dass sich ein Wert zwischen 1 und 1728 ergibt. • Der erreichte Wert entscheidet darüber, welche Prüffelder in der Prüfungsplanung priorisiert werden. • Es werden für jedes Jahr drei Prüfungen aus den Prüffeldern ausgewählt. (z.B. zwei Prüfungen mit Wert 96≤, eine Prüfung mit Wert
Datenschutz-Prüfungen – Prüfungsdurchführung Prüfungsdurchführung Kick – Off Prüfungsarten Prüfungshandlungen • Prozessprüfung • Bestätigen von Sachverhalten durch externe Parteien • Einzelfallprüfung • Analyse von Dokumenten • Begehung* • Stichprobenprüfungen • Follow-Up-Prüfung (Maßnahmennachverfolgung) • analytische Prüfungshandlungen (Auswertungen) • Sonderprüfungen (v.a. bei Datenschutzverstößen) • exemplarischer Prozessdurchlauf • direkte Beobachtung • Interviews Abschlussbesprechung * Prüfungen, bei denen bestimmte Standardprüffelder in regelmäßigen Abständen vor Ort und stichprobenhaft kontrolliert werden. kbo Datenschutzprüfungen bei kbo | Juni 2020 | 17
Datenschutz-Prüfungen – Prüfungsdurchführung Bewertungssystematik von Prüfungsfeststellungen z.B. Festlegung von Prioritäten Priorität 1 Es wird eine gesetzliche Vorschrift nicht eingehalten bzw. es besteht aktuell ein sehr hohes Risiko. Es sind umgehend Maßnahmen einzuleiten, um den Verstoß abzustellen. Priorität 2 Es wird eine interne Vorgabe nicht eingehalten. Die derzeitige Geschäftsabwicklung kann zu einem hohen Unternehmensrisiko führen. Priorität 3 Es wird eine interne Vorgabe nicht eingehalten. Mit der Nichteinhaltung ist ein niedriges Unternehmensrisiko verbunden. Priorität 4 Es sind Verbesserungen in der Unternehmensabwicklung möglich, diese sind bei einer Neugestaltung bzw. Änderung von Prozessen zu berücksichtigen. kbo Datenschutzprüfungen bei kbo | Juni 2020 | 18
Datenschutz-Prüfungen – Prüfungsdurchführung Berichtswesen • Prüfungsbericht vom Vorstand zu unterschreiben Maßnahmen sind umzusetzen • Begehungsprotokoll keine Unterschrift des Vorstands oder Geschäftsführers • Stellungnahmen (v.a. bei Sonderprüfungen) • Jahresbericht Tätigkeiten des Jahres kbo Datenschutzprüfungen bei kbo | Juni 2020 | 19
Dokumentation Dokumentation von Datenschutzprüfungen • Prüfungsplanung anhand von Audit-Universe und Risikobewertungssystem • Prüfungsfeststellungen inkl. Nachverfolgungsprozess • Ablage von relevanten Dokumenten zur Prüfung (Berichte, Nachweise, Richtlinien, etc.) Ggf. Verwendung von Dokumentationstools, auch zur Sicherstellung der Rechenschaftspflichten kbo Datenschutzprüfungen bei kbo | Juni 2020 | 20
Zusammenarbeit einzelner Bereiche Datenschutz Interne Revision Compliance Qualitäts- IT-Sicherheit management z.B. gemeinsame Audits, Co-Sourcing kbo Datenschutzprüfungen bei kbo | Juni 2020 | 21
Fragen/Anmerkungen kbo Datenschutzprüfungen bei kbo | Juni 2020 | 22
Vielen Dank für Ihre Aufmerksamkeit! Für Fragen stehe ich Ihnen gerne zur Verfügung: Nikolaus Schrenk Kliniken des Bezirks Oberbayern – Kommunalunternehmen Prinzregentenstraße 18 80538 München E-Mail: nikolaus.schrenk@kbo.de Telefon: 089 5505227-16 kbo Datenschutzprüfungen bei kbo | Juni 2020 | 23
Sie können auch lesen